安全配置的核查方法与系统技术方案

本发明专利技术公开一种安全配置核查方法与核查系统，由核查引擎以任务的方式组织核查过程，通过在线或离线的方式检测用户系统、应用服务器、数据库、网络设备等是否存在具有安全隐患的配置，并输出核查结果；其中对于无法远程交互的目标端，通过下载并上传核查工具至目标端执行获取配置信息，或者从目标端导出配置文件由核查工具解析获取配置信息。该技术方案具有以下有益效果：提高了适用性，既可以对在线设备进行核查，也可以对离线设备进行核查，并且提高了核查效率、可靠性以及易用性。

【技术实现步骤摘要】
安全配置的核查方法与系统
本专利技术属于计算机网络安全
，尤其是涉及一种用于对设备的安全配置进行核查的安全配置核查方法与核查系统。
技术介绍
随着网络服务与应用的广泛使用，承载这些服务和应用的数据服务器与网络设备的安全性逐渐引起重视。使用专业的安全设备（如防火墙等）可以有有效阻断网络入侵。但是实际中，网络设备的管理者对设备的安全配置的缺陷，却给攻击者以可乘之机，使设备及数据暴露在威胁中，极易造成无法挽回的损失。因此，为了避免网络设备的配置缺陷，网络管理员通常会对网络设备的配置进行核查，对不符合安全配置规范的网络设备进行安全加固。现有的配置核查技术，手工核查方式效率较低且可靠性不足；通过向目标设备发送指令获取配置信息，再进行判断，这种方式虽然具有较高效率且通用性也较好，但是依赖网络实现，对于不允许以特定权限远程登录或者由于网络原因无法被远程登录，则这种核查方式就无法实现。
技术实现思路
鉴于上述背景，本专利技术提出一种适用更多场景的安全配置核查方法与系统，通过多方式实现的核查任务，克服上述技术问题，其具体的技术方案如下所述：第一方面，提出一种安全配置的核查方法，包括：远程登录目标端，执行获取安全配置信息的命令，将目标端返回的配置信息生成结果文件；解析所述结果文件，判断所述目标端的安全配置是否合规；若无法与目标端直接远程交互：下载核查工具，拷贝至目标端执行，获取安全配置信息；或，从目标端导出其配置文件，调用核查工具解析配置文件，获取安全配置信息。作为优选的，获取目标端的配置信息之前，还包括建立安全配置规则表，所述规则表中的每一条规则都规定一项合法的安全配置项参数；根据目标端类型，从所述规则表中选择与目标端的安全配置相关联的规则，建立核查策略；所述目标端类型包括安全设备、网络设备、中间件、数据库、服务器。进一步的，获取目标端的配置信息之后，根据核查策略，解析所述结果文件得到所述目标端的安全配置项参数，依次判断是否与所述核查策略的规则相符，并输出核查结果至数据库保存。所述安全配置规则包括：规则编号与插件编号,规则名称、规则主类与子类,风险等级、基线编号与基线要求；每个所述的规则均对应一个插件且插件编号唯一，所述规则编号与插件编号相同或不同；所述规则主类包括规则对应的目标端类型，所述规则子类包括目标端系统类型、网络设备类型、数据库类型、中间件类型的至少一个；所述风险等级表示该规则被违反时对应的风险程度，所述基线要求包括该规则规定的安全配置项参数。另一方面，提出一种安全配置的核查系统，设置核查端，用于对待核查的目标端进行配置核查，所述核查端包括：核查管理模块，用于管理安全配置规则、核查策略与核查任务；建立安全配置规则表，每一条安全配置规则规定一项合法的安全配置项；根据待核查目标端信息，选择与其安全配置相关联的规则，建立核查策略；根据核查策略创建核查任务，根据任务信息获取待核查目标端的安全配置信息，解析得到安全配置参数，若与所述安全配置规则不一致则发生告警；核查引擎模块，将从待核查目标端获取的配置信息生成结果文件，调用核查工具解析结果文件，判断文件中的安全配置信息是否与规则一致，并将核查结果输出至数据库保存。如上所述，本专利技术的安全配置核查方法与系统，由核查引擎以任务的方式组织核查过程，通过在线或离线的方式检测用户系统、应用服务器、数据库、网络设备等是否存在具有安全隐患的配置，并输出核查结果；其中对于可远程交互的目标端，通过执行命令的方式获取配置信息；而对于无法远程交互的目标端，通过下载并上传核查工具至目标端执行获取配置信息，或者从目标端导出配置文件由核查工具解析获取配置信息。该技术方案具有以下有益效果：提高了适用性，既可以对在线设备进行核查，也可以对离线设备进行核查，并且提高了核查效率、可靠性以及易用性。附图说明图1为本专利技术的安全配置核查方法实施例，整体工作流程示意图；图2为本专利技术的安全配置核查系统实施例，组成框图；图3为图1中的，在线核查具体流程示意图；图4为图1中的，离线核查具体流程示意。具体实施方式首先对与配置核查相关的技术进行进一步说明。通常，网络设备的提供商会提供规范的设备安全配置，以便设备的网络管理员根据该规范对进行配置，同时，设置专门的核查设备对该网络设备定制安全配置核查方案，通过这个安全配置核查方案对网络设备进行安全配置扫描，并将扫描结果通知给网络管理员，进而规范服务器或者网络设备的配置项，保证设备的安全稳定运行。例如，扫描设备配置中的一项或多项以下内容：缺省访问权限、相关协议是否限制超级管理员用户直接远程登录、采用弱密码检测技术检查网络设备密码长度、内容及有效期是否符合规范等。但是，实现上述配置安全扫描的前提是能够远程连接并且具有特定访问及操作权限，实际情况却是，一些内部网络及其网络设备出于安全考虑，会禁止远程登录到本地，比如通过禁用smb、ssh或者telnet这些远程连接的服务，来限制外部用户或设备以远程方式进行网络设备的扫描，这就造成无法对网络设备进行安全配置扫描，导致暴露在互联网中的设备存在安全隐患。下面通过实施例，并结合附图对本专利技术的安全配置核查方法与系统的技术方案，进行详细说明。如图1所示，一种安全配置的核查方法，包括：建立安全配置规则表，根据目标端的类型，从安全配置规则表中选择与其安全配置关联的规则，建立核查策略，判断目标端是否可远程交互。对于可远程交互的目标端，当监听到任务开始时，根据任务信息远程登录目标端，执行获取安全配置信息的命令；接收目标端返回的配置信息；若无法与目标端直接进行远程交互：一种是从下载核查脚本，并拷贝至目标端执行，获取安全配置信息；另一种是从目标端导出其配置文件，调用文件核查脚本，获取安全配置信息。将通过上述在线或离线方式获取的安全配置信息生成结果文件；根据核查策略调用核查插件，解析配置信息，判断是否与所述规则相符，并将核查结果保存至数据库，同时可以输出核查报表。作为优选的实施方式，所述规则表中的每一条规则都规定一项合法的安全配置项。对于可远程交互的目标端，所述监听还包括监听任务的停止、删除与继续；所述任务信息包括：任务ID、任务动作、任务执行方式，所述任务ID包括由任务创建时间生成的随机码，所述任务动作包括创建、开始、停止、删除、继续，所述任务执行方式包括不执行、立即执行、定时一次执行、定时周期执行，所述任务信息还包括：策略名或策略ID、目标端信息，所述目标端信息包括IP或IP段、目标端操作系统、目标端类型，所述目标端类型包括安全设备、网络设备、中间件、数据库、服务器。作为一种优选的实施方式，上述的安全配置规则包括：规则编号与插件编号；每个规则对应一个插件且插件编号唯一，所述规则编号与插件编号相同或不同；规则名称、规则主类与子类、目标端厂商；所述规则主类包括规则对应的目标端类型，所述本文档来自技高网...

【技术保护点】
1.一种安全配置的核查方法，其特征在于，包括：/n远程登录目标端，执行获取安全配置信息的命令，将目标端返回的配置信息生成结果文件；解析所述结果文件，判断所述目标端的安全配置是否合规；/n若无法与目标端直接远程交互：下载核查工具，拷贝至目标端执行，获取安全配置信息；/n或，从目标端导出其配置文件，调用核查工具解析配置文件，获取安全配置信息。/n

【技术特征摘要】
1.一种安全配置的核查方法，其特征在于，包括：
远程登录目标端，执行获取安全配置信息的命令，将目标端返回的配置信息生成结果文件；解析所述结果文件，判断所述目标端的安全配置是否合规；
若无法与目标端直接远程交互：下载核查工具，拷贝至目标端执行，获取安全配置信息；
或，从目标端导出其配置文件，调用核查工具解析配置文件，获取安全配置信息。


2.根据权利要求1所述的配置核查方法，其特征在于，获取目标端的配置信息之前，还包括建立安全配置规则表，所述规则表中的每一条规则都规定一项合法的安全配置项参数；根据目标端类型，从所述规则表中选择与目标端的安全配置相关联的规则，建立核查策略；所述目标端类型包括安全设备、网络设备、中间件、数据库、服务器；
获取目标端的配置信息之后，根据核查策略，解析所述结果文件得到所述目标端的安全配置项参数，依次判断是否与所述核查策略的规则相符，并输出核查结果至数据库保存。


3.根据权利要求2所述的配置核查方法，其特征在于，对于可远程交互的目标端，根据核查策略创建核查任务，当核查任务启动时，创建任务执行进程，根据核查策略调用核查插件，获取目标端的配置信息；接收目标端返回的配置信息并生成结果文件；解析结果文件得到安全配置信息，若存在配置项与所述核查策略的规则不一致则进行告警；
所述核查结果以XML文件保存。


4.根据权利要求3所述的配置核查方法，其特征在于，
所述监听还包括监听任务的停止、删除与继续；
所述任务信息包括：任务ID、任务动作、任务类型、任务执行方式，所述任务ID包括根据任务创建时间生成的随机码，所述任务动作包括创建、开始、停止、删除、继续，所述任务执行方式包括不执行、立即执行、定时一次执行、定时周期执行，
所述任务信息还包括：策略名或策略ID、目标端信息，所述目标端信息包括IP或IP段、目标端操作系统、目标端类型。


5.根据权利要求2所述的配置核查方法，其特征在于，所述安全配置规则包括：规则编号与插件编号,规则名称、规则主类与子类,风险等级、基线要...

【专利技术属性】
技术研发人员：李福宜，王平，陈宏伟，
申请(专利权)人：西安交大捷普网络科技有限公司，
类型：发明
国别省市：陕西;61